Ökningen av APP-bedrägerier (authorised push payment) har blivit ett stort problem för företag i och utanför Storbritannien. Faktum är att enligt UK Finance "Bara under 2022 stals mer än 500 miljoner pund från företag via APP-bedrägerier.
Sean Moriarty, CFO,
AccessPay
I vårt senaste webbinarium Hur man avvärjer APP-bedrägerier: Prata om förbättrade betalningskontroller med en CFO, vi spå plats med Sean Moriarty, Chief Financial Officer på AccessPay, för att diskutera APP-bedrägerier, deras förekomst och de effektiva åtgärder som företag kan vidta för att förhindra dem.
I den här bloggen fördjupar vi oss i deras samtal och lyfter fram de viktigaste slutsatserna och strategierna som diskuterades.Se hela webbseminariet på begäran
Vad är APP-bedrägeri?
Bedrägeri med auktoriserade push-betalningar är ett sofistikerat system där en bedragare lurar ett företag att frivilligt skicka pengar till ett bedrägligt konto. Bedragaren utger sig ofta för att vara en äkta leverantör, anställd eller finansinstitut. En av de mest oroande aspekterna av denna typ av bedrägeri är att det sker under sken av äkthet, med hjälp av social ingenjörskonst och avancerade tekniska verktyg för att lura intet ont anande offer, vanligtvis inom ekonomiteamet.
Varför är APP-bedrägerier så vanligt förekommande?
APP-bedrägerier har blivit allt vanligare på grund av en kombination av faktorer. De ekonomiska belöningarna för bedragare är lockande, eftersom även ett fåtal framgångsrika försök kan leda till betydande vinster för en individ. Dessutom har den digitala eran gett bedragare gott om verktyg för att genomföra sina planer, inklusive möjligheten att hacka sig in i e-postkonton, skapa falska dokument och till och med härma kommunikationsstilen hos ledande befattningshavare. Eftersom distansarbete och elektronisk kommunikation har blivit normen ökar också möjligheterna för bedragare att utnyttja dessa sårbarheter.
Ett verkligt exempel på APP-bedrägeri
Under Seans karriär som CFO har han sett många exempel på APP-bedrägerier.
En av hans CFO-kollegor berättade nyligen om ett chockerande exempel där ett företags finansavdelning utsatts för direkta angrepp och lidit en betydande ekonomisk förlust.
Scenariot: Avslöja ett APP-bedrägeri med skärmdelning
- Företag: Anonym
- Första kontakt: Offret får ett samtal som ser ut att komma från Barclays och rapporterar misstänkt kontoaktivitet och blockerade utgående betalningar.
- Begäran om överföring av medel: Den som ringer övertalar offret att överföra pengar till företagets konto från ett depåkonto, vilket skapar brådska.
- Delning av skärm: Bedragaren föreslår en skärmdelningssession för att lösa problemet mer effektivt, och offret går med på det.
- Manipulera skärmen: Under sessionen får bedragaren kontroll och visar transaktioner som verkade äkta för offret, men som var manipulerade.
- Begäran om auktoriseringskod: Bedragaren ber offret att ange en auktoriseringskod, vilket döljer de faktiska transaktioner som godkänns.
- Oavsiktlig överföring: Offret godkänner oavsiktligt olika transaktioner, vilket leder till en förlust på 200 000 GBP för företaget.
Denna incident är en stark påminnelse om vikten av att genomföra rätt säkerhetskontroller för att förhindra sådana bedrägerier i framtiden, en lärdom som vi kommer att fördjupa oss ytterligare när vi delar exempel på förebyggande åtgärder.
3 sätt att bekämpa APP-bedrägerier
Identifiera varningssignaler och vanliga taktiker
Det finns flera exempel på APP-bedrägerier, allt från sofistikerade spear phishing-attacker till direkt manipulation av betalningsprocesser. Dessa verkliga scenarier understryker vikten av att vara vaksam och implementera flerskiktade försvarsmekanismer inom organisationer. Genom att känna till de vanligaste taktikerna som används av bedragare - som att skapa en känsla av brådska, utnyttja personuppgifter och manipulera e-postkommunikation - kan ekonomiteamen identifiera potentiella bedrägerier innan de eskalerar.
I fallet som nämns ovan är det uppenbart att offret borde ha ringt tillbaka till banken på ett direktnummer, men den brådska som skapades av bedragaren var tillräcklig för att offret skulle känna sig pressat att lösa problemet snabbt.
Det är alltid bäst att tala direkt med en högre kollega om någon kommunikation eller betalning verkar oregelbunden. Här var den vanliga taktiken att "skapa panik" hos offret, och i det här fallet lönade det sig tyvärr.
Sean ger ett verkligt exempel på APP-bedrägeri och hur han övervann det.
Uppbyggnad av effektiva försvarsstrategier
För att effektivt bekämpa APP-bedrägerier måste företagen anta en heltäckande strategi som omfattar både utbildning av anställda och tekniska lösningar. Det är avgörande att etablera ett starkt samarbete mellan team inom finans, säkerhet, IT och styrning, risk och efterlevnad (GRC).
Regelbundna utbildningstillfällen kan förbättra medarbetarnas förmåga att identifiera och rapportera misstänkta aktiviteter. Dessutom kan integration av teknik, t.ex. tjänster för bekräftelse av betalningsmottagare, ge realtidskontroller av kontouppgifter, vilket säkerställer att betalningar riktas till legitima mottagare.
Sådan utbildning ger individer och organisationer kunskap att identifiera vanliga bedrägerimetoder, inklusive phishing-mejl och manipulativ kommunikation. Utbildningen betonar vikten av att verifiera betalningsbegäran och mottagarinformation, och främjar metoder som Confirmation of Payee (CoP) (mer om detta senare) för att förhindra bedrägliga transaktioner. Dessutom ger utbildningen säkra digitala vanor, t.ex. robust lösenordshantering och vaksamhet mot nätfiskeattacker.
I företagsmiljöer ökar specialiserad utbildning medarbetarnas medvetenhet, vilket minskar risken för insiderhot. I det fall som Sean nämnde var hans personal, eftersom de hade fått rätt utbildning, förberedda och redo att ifrågasätta nätfiskeförsök av det slaget, men det finns naturligtvis situationer där företag inte har sådan tur. Facebook och Google har till och med fallit offer för detta; En litauisk man, Evaldas Rimasauskas, iscensatte ett klassiskt fall av business email compromise (BEC) där han, tillsammans med medkonspiratörer, framgångsrikt stal över $100 miljoner från Facebook och Google. De utgav sig för att vara Taiwan-baserade Quanta Computer och skickade övertygande phishing-mail med förfalskade fakturor och kontrakt under två år från 2013 till 2015.
Vill du veta mer om hur du implementerar effektiva försvarsstrategier?
Ladda ner vår kostnadsfria guide: Den praktiska guiden för att bekämpa bedrägerier med auktoriserade push-betalningar
Utnyttja teknik för förebyggande
Bekräftelse av betalningsmottagare (CoP) spelar en avgörande roll för att avvärja APP-bedrägeriförsök. CoP gör det möjligt för organisationer att korsreferera kontonummer, sorteringskoder och kontonamn för att säkerställa att de matchar. Genom att utföra dessa kontroller innan betalningskörningar initieras kan företag identifiera inkonsekvenser och förhindra att medel når bedrägliga konton, vilket fungerar som ett robust autentiseringslager. Varje namnmatchning utlöser en varning som uppmanar betalaren att verifiera
transaktion. CoP motverkar bedrägerier med hjälp av social ingenjörskonst och förbättrar spårbarheten i händelse av intrång.
Om det här offrets team hade beslutat att göra en betalning skulle CoP-funktionen ha varit avgörande för att skydda organisationen. Den skulle ha flaggat för inkonsekvenserna mellan kontonamnet och den person som betalades, och stoppat betalningen från att godkännas tills dessa uppgifter granskats.
Läs mer om hur du implementerar och automatiserar CoP i dina finansiella processer här
APP-bedrägerier utgör en betydande risk för företag i alla storlekar och branscher. Men med en proaktiv strategi som kombinerar utbildning av anställda och teknikdrivna lösningar kan organisationer minska risken för att falla offer för dessa sofistikerade system.
Genom att upprätthålla ett starkt samarbete mellan finans- och säkerhetsteamen och utnyttja avancerade verktyg som CoP kan företagen stärka sitt försvar och skydda sina tillgångar från det ständigt närvarande hotet om bedrägerier.
Ta reda på mer om bekräftelse av betalningsmottagare och hur du kan upptäcka misstänkta transaktioner innan de görs, med vår Svit för förebyggande av bedrägerier och fel.